510 likes | 728 Vues
联想信息安全 LSPE 认证培训. 防火墙安装调试教材 ( 适用于防火墙版本V2.1.0 ). 目 录. 1.安装调试前的工作. 2.初次登录防火墙的管理界面. 3.更改防火墙的 IP 地址. 4.串口命令行管理防火墙. 5.典型网络环境防火墙配置. 6.防火墙其它功能的介绍. 7.如遇到问题怎么办. 目 录. 1. 安装调试前的工作. 1.1 拆箱检查. 1.2 要获得专业服务的前期工作. 1.安装调试前的工作. 1.1 拆箱检查. 请安装装箱单的提示进行检查机箱内所有
E N D
联想信息安全LSPE认证培训 防火墙安装调试教材 (适用于防火墙版本V2.1.0)
目 录 1.安装调试前的工作 2.初次登录防火墙的管理界面 3.更改防火墙的IP地址 4.串口命令行管理防火墙 5.典型网络环境防火墙配置 6.防火墙其它功能的介绍 7.如遇到问题怎么办
目 录 1.安装调试前的工作 1.1 拆箱检查 1.2 要获得专业服务的前期工作
1.安装调试前的工作 1.1拆箱检查 • 请安装装箱单的提示进行检查机箱内所有 • 的配件: • 防火墙主机、USB电子钥匙、随机光盘、 • 管理手册、随机资料、电源线、网线、 • 串口线、安装支架、保修卡 *注:如发现有问题,请及时与你的供货商进行沟通解决。
1.安装调试前的工作 1.2 要获得专业服务的前期工作 • 第一时间内填写保修卡的回执卡, 并邮寄回我公司, 以便于成为我公司永远 关怀的对象 • 到联想信息安全升级网站 http://www.leadsec.com.cn 进行产品注册,请你详细填写用户名、 通信地址、联系电话、E-mail地址等信息, 以便于在防火墙有新的技术成果能够及时的传递给用户
目 录 2.初次登录防火墙的管理界面 2.1 准备工作 2.2 安装网御电子钥匙 2.3 安装“联想网御2000管理员登录”程序 2.4 进入“联想网御2000管理员登录”程序 2.5 认证、登录防火墙的管理界面
2.初次登录防火墙的管理界面 2.1 准备工作 • 接通防火墙电源,开启防火墙 • 选用一台带USB接口、以太网卡和光驱的PC机 作为 防火墙的管理主机,操作系统应为Window98/ 2000/XP • 使用随机提供的交叉线,连接管理主机和防火墙的 • eth1网口 • 将管理主机的IP地址改为10.1.5.200(防火墙出厂 • 时默认指定的管理主机IP)
2.初次登录防火墙的管理界面 2.2 安装网御电子钥匙 • 将随机光盘放入管理主机的光驱,进入随机附带的光盘的key • 目录,执行该目录下的INSTDRV,提示“退出请重新插锁”, • 则表示已正确安装完网御电子钥匙的驱动程序 • 将网御电子钥匙插入管理主机的USB口,管理主机会提示 • 发现新硬件,并自动进行驱动程序的安装 *注意:安装驱动程序过程中,请不要先将网御电子钥匙插入管理主机的USB口。
2.初次登录防火墙的管理界面 2.3 安装“联想网御2000管理员登录”程序 • 在管理主机上,运行随机光盘key目录下的 • AdminSetup.exe程序根据提示进行安装。安装结束 • 后,会在桌面创建一快捷方式 ,同时出现下面窗口: • 再次登录直接执行快捷方式即可
2.初次登录防火墙的管理界面 2.4 进入“联想网御2000管理员登录”程序 • 启动“联想网御2000管理员登录”程序,程序将提示 • 用户输入PIN口令,首次使用默认PIN为“12345678”, • 通过后弹出管理员身份认证对话框,如下图:
2.初次登录防火墙的管理界面 2.5 认证、登录防火墙的管理界面 • 点击“连接”按钮 • 认证通过弹出“通过认证”对话框 • 打开管理主机的IE浏览器,浏览http://10.1.5.254:8888 , 出现如下防火墙管理界面: *注:在管理防火墙过程中,本程序每5秒将向防火墙提交一次认证信息,因此, 不能拔出电子钥匙,或者关闭认证程序,否则将导致对防火墙的管理被立即中断。
目 录 3. 更改防火墙的IP地址 3.1 更改防火墙IP地址的原则 3.2 更改防火墙IP地址 3.3 重新登录防火墙前的工作 3.4 重新登录防火墙 3.5 进行系统保存 3.6 登录配置更改地址防火墙的管理界面
3.更改防火墙的IP地址 3.1 更改防火墙IP地址的原则 • 一般地,防火墙通常至少要有一个IP地址 • 防火墙至少其中的某个IP与相邻的三层设备 • (如路由器、三层交换机)的IP地址在同一IP网络 • 上,使管理主机可管理到 • 防火墙的IP地址应不与其他网络设备或PC的IP • 地址冲突(即空闲的IP地址)
3.更改防火墙的IP地址 3.2 更改防火墙IP地址 • 将“系统配置”下的“基本参数”页的防火墙和 • 管理主机地址进行修改后,点击此页的“确定” • 按钮,出现以下页面: • *注:此时,管理主机对防火墙的管理已断开连接,如此时防火墙断电重启, 防火墙的配置会恢复到出厂状态。
3.更改防火墙的IP地址 3.3 重新登录防火墙前的工作 • 改变管理主机的IP地址为10.0.14.249, 子网掩码为255.255.255.248 • 在“防火墙管理员认证”程序界面,将电子钥匙 内的防火墙IP直接改为10.0.14.250,并“保存”
3.更改防火墙的IP地址 3.4 重新登录防火墙 • 重新认证 • 认证通过后,打开IE浏览器,浏览 • http://10.0.14.250:8888,出现如下防火墙管理界面:
3.更改防火墙的IP地址 3.5 进行系统保存 • 到“系统工具”——“系统保存”页,点击 • “系统保存”的“确定”按钮,完成对防火墙IP • 地址的修改。 • *注:如不进行系统保存,防火墙出现断电重启时,防火墙的配置 • 会恢复到出厂状态。你修改防火墙IP地址的工作就会白做。
3.更改防火墙的IP地址 3.6 登录配置更改过的防火墙管理界面 • 确认管理防火墙的主机的IP地址为10.0.14.249或10.0.0.168远程 管理时使用,即跨网段管理时使用),将电子钥匙进行了正确的安装 • 运行随机光盘key目录下的AdminSetup.exe程序,根据提示进行 • 安装。安装结束后,会在桌面创建一快捷方式(以下均以主防火墙为例) • 启动认证程序,程序将提示用户输入PIN口令,出现认证窗口 • 点击“连接”, 认证通过后,不要关闭认证窗口 • 打开IE浏览器,浏览 http://10.0.14.250:8888, • 出现防火墙管理界面后,进行防火墙的配置 • 配置完成后,在“系统工具”——“系统保存”页,点击 “系统保存”的“确定”按钮,对配置进行保存
目 录 4.串口命令行管理防火墙 4.1登录防火墙串口命令行管理界面前的工作 4.2登录防火墙串口命令行管理界面 4.3串口命令行命令介绍 4.4重要命令的说明
4.串口命令行管理防火墙 4.1登录防火墙串口命令行管理界面前的工作 • 当系统工作不正常,并且不能通过网络正常 • 管理防火墙时,此时,可以通过串口登录到防 • 火墙,并对防火墙进行配置。 • 使用随机所附的串口线,将防火墙的串口2与一 台装有超级终端的个人计算机的串口连接起来。 • 设置超级终端的波特率:19200;数据位:8; 奇偶校验:无;停止位:1;流量控制:硬件
4.串口命令行管理防火墙 4.2登录防火墙串口命令行管理界面 • 建立连接后(出现AntiCracker2000V2.0 login:提示符), 输入正确的帐号和密码,就能够登录防火墙,进入防火墙命令行 方式。防火墙出厂时,默认的串口管理员帐号和密码分别为: admin/admin123
4.串口命令行管理防火墙 4.3串口命令行命令介绍 • 使用help命令可显示在命令行状态可以使用的 • 命令列表。目前可用命令包括: • Arp、block_ip、chid、 clock-syn、 • date 、dns、exit、help、 ifconfig、 • init-admin、init-fw 、mipcfg、netstat、 • ping、PPPAdmin、route、rcs-policys、 • SSHAdmin、sysmail、 tcpdump
4.串口命令行管理防火墙 4.4重要命令的说明 • ifconfig 本命令用于显示防火墙的IP设置情况 • init-fw 本命令将系统所有配置恢复为出厂的默认设置。 • 注意:这是一个较危险的命令。请在将用户配置导出后在使用本命令,以备恢复用户配置。 • mipcfg 本命令用于显示和设置管理主机IP。 • mipcfg –D 显示管理主机IP设置 • mipcfg –S 10.0.14.249 设置管理主机IP为10.0.14.249 • rst_policys 用于清除防火墙规则和恢复防火墙默认规则 • rst_policys –C 清除防火墙规则 • rst_policys –R 恢复防火墙默认规则 • ping 本命令用于检测网络连接状况。 • 常用用法:ping 10.0.0.168 (测试防火墙 • 和10.0.0.168是否可达)
目 录 5. 典型网络环境防火墙配置 5.1防火墙配置的基本原则 5.2防火墙与其它网络设备的连接 5.3防火墙的路由 5.4典型网络未使用防火墙时的安全分析 5.5加入防火墙后的网络拓扑 5.6加入防火墙后的好处 5.7防火墙的地址 5.8网络访问安全要求 5.9防火墙的简单配置 5.10 较复杂典型网络分析
5.典型网络环境防火墙配置 5.1防火墙配置的基本原则 • 让合法用户合理利用网络资源 • 使网络免受已知风险 • 安全与方便之间选择一个平衡点
5.典型网络环境防火墙配置 5.2防火墙与其它网络设备的连接 • 防火墙----交换机、HUB :直通线(普通网线) • 防火墙----PC、笔记本、路由器:交叉线 • *注:随机提供的网线是交叉线
5.典型网络环境防火墙配置 5.3防火墙的路由 • 默认网关 • 默认网关的作用:防火墙在无法决定该往哪里转发 • IP包的时候,将把IP包转发到缺省网关。 • 配置默认网关的原则:默认网关应该是防火墙连接外网 • 的下一跳地址。如防火墙连接到外网的下一个设备是路由器, • 则默认网关应设置为与防火墙连接的路由器接口的IP地址。 • 静态路由 • 当防火墙隔离的内网使用了路由器或三层交换机等三层设 • 备的路由功能的时候,需要考虑配置静态路由。
5.典型网络环境防火墙配置 5.4典型网络未使用防火墙时的安全分析 • 代理服务器经常受到攻击,并以此为跳板攻击内部网络 • 公开服务器需要进行隐藏,增加安全性 • 需要增加内网用户访问公网的速度 • …… 结论:需增加专用的网络安全设备(防火墙)对现有网络进行保护
5.典型网络环境防火墙配置 5.5加入防火墙后的网络拓扑
5.典型网络环境防火墙配置 5.6加入防火墙后的好处 • 内部用户可以通过防火墙做NAT方式防火墙Internet, 访问速度加快,同时可以隐藏内部的网络结构 • 通过防火墙做反向NAT,Internet用户可以正常的访问服务器 区服务器提供的特定服务,并且可以隐藏网络结构,增加 了对服务器的保护 • 将服务器与内部主机通过防火墙进行隔离,可以避免由服务器 到内部主机发起的攻击限制内部主机对服务器的访问权 限,可以防止内部对服务器可能发生的破坏 • ……
5.典型网络环境防火墙配置 5.7防火墙的地址 • 10.0.14.250/24 作为内部主机的网关 • 200.1.1.3/27 作为web server对外公开的地址 • 200.1.1.2/27 作为内部主机NAT访问Internet的公网地址 • 防火墙的默认网关:200.1.1.1
5.典型网络环境防火墙配置 5.8网络访问安全要求 • 局域网管主机地址是10.0.14.249,同时管理防火墙和web 服务器 • 不允许web服务器向外访问 • 允许局域网主机访问互联网任意主机,访问的服务不作限制 • 允许互联网主机通过http://200.1.1.3访问web服务器 • 其它访问均禁止
5.典型网络环境防火墙配置 5.9防火墙的简单配置 • 防火墙添加的“安全规则” • 防火墙添加的“反向NAT”规则 • 防火墙策略配置应遵循:完备性、正确性、一致性 • *注:添加规则之后,点击“规则生效”,全部规则立即生效。进行系统 保存,防火墙的简单配置完成。
5.典型网络环境防火墙配置 5.10较复杂典型网络分析 • 防火墙如何布置? • 防火墙添加哪些规则?
目 录 6. 防火墙其它功能的介绍 • 6.1管理防火墙的方式 • 6.2集中管理功能 • 6.3远程支持功能 • 6.4代理服务功能 • 6.5支持非TCP/IP协议和VLAN协议 • 6.6支持用户认证、时间控制、流量控制 • 6.7支持MAC与IP地址的绑定 • 6.8邮件过虑功能 • 6.9 URL过虑功能 • 6.10 入侵检测功能 • 6.11 双机热备功能
6.防火墙其它功能的介绍 6.1管理防火墙的方式 • 网御电子钥匙web管理 • 串口web管理(com1) • 串口命令行管理(com2) • 基于电子证书的web管理
6.防火墙其它功能的介绍 6.2集中管理功能
6.防火墙其它功能的介绍 6.3远程支持功能
6.防火墙其它功能的介绍 6.4代理服务功能
6.防火墙其它功能的介绍 6.5支持非TCP/IP协议和VLAN协议
6.防火墙其它功能的介绍 6.6支持用户认证、时间控制、流量控制
6.防火墙其它功能的介绍 6.7支持MAC与IP地址的绑定
6.防火墙其它功能的介绍 6.8邮件过虑功能
6.防火墙其它功能的介绍 6.9 URL过虑功能
6.防火墙其它功能的介绍 6.10 入侵检测功能
6.防火墙其它功能的介绍 6.11 双机热备功能
目 录 7.如遇到问题怎么办 • 7.1保存配置信息——会使你成为解决问题的专家 • 7.2充分利用日志信息——会使你“柳岸花明” 7.3随机手册——你的得力助手 7.4联想专家热线——你永远可信赖的朋友
7.如遇到问题怎么办 7.1 保存配置信息——会使你成为解决问题的专家 • 及时系统保存 • 配置时经常地进行系统保存,将使我们的防火墙不至 • 于因断电等原因丢失已配置的信息 • 规则的导入导出 • 规则的导入导出将提高配置效率和保存并使用特定的 • 安全策略。如在模块升级后由于规则将恢复到出厂状 • 态,此时使用此功能将能快速恢复配置信息 • 书写调试文档 • 将调试人、网络拓扑图、加入规则的原因、遗留问题 • 等信息进行详细的记录,形成文档备案
7.如遇到问题怎么办 7.2 充分利用日志信息——会使你“柳岸花明” 在调试防火墙的过程中,详细阅读防火 墙的日志信息。及时将应允许通过防火墙的 数据在安全规则上体现,使其正常通过防火 墙
7.如遇到问题怎么办 7.3 随机手册——你的得力助手 如在使用联想网御2000防火墙过程中遇到 问题,请仔细阅读防火墙的《配置使用手册》 和《功能应用手册》